Решена После загрузки личных параметров сразу открывается папка мои документы

Статус
В этой теме нельзя размещать новые ответы.

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#1
Здравствуйте! Помогите избавится от гадости. Хоть и не очень мешает тем не менее довольно неприятно. Суть дела в том, что при загрузке личных параметров сразу открывается папка мои документы. При запуске винды в безопасном режиме всё повторяется. Перейдя в диспетчер задач работает мои документы и ещё "неопределённый объект", причём при перезагрузке или включении компьютера "неопределённый объект" меняет своё название. Перейдя в процессы обнаруживается Odbcctl.exe (В безопасном режиме процесса нет). После завершения данного процесса ничего не меняется. Всё, что мог сделать сделал, как описано в правилах оформления запроса о помощи, только не смог разобраться, где делается вот этот пункт (в папке меню Сервис - Свойства папки, вкладка Вид снять флажок "Скрывать расширения для зарегистрированных типов файлов"; Нажать на ок.). Эта гадость не даёт обновиться AVZ. И не только, она ещё и не даёт скачивать антивирусы, в общем рубит по полной. Уже трое суток с ней борюсь и всё безуспешно. Очень надеюсь на Вашу помощь.
 

Вложения

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
Баллы
453
#2
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 ClearQuarantine;
 QuarantineFile('C:\WINDOWS\system32\Odbcctl.exe','');
 QuarantineFile('C:\WINDOWS\system32\lkeroo.exe','');
 DeleteFile('C:\WINDOWS\system32\lkeroo.exe');
 DeleteFile('C:\WINDOWS\system32\Odbcctl.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft ODBC Engine');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(20);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>safezone.cc (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки
Код:
 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\lkeroo.exe,userinit.exe
O4 - HKLM\..\Run: [Microsoft ODBC Engine] Odbcctl.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOCUME~1/07C4~1/LOCALS~1/Temp/msohtmlclip1/01/clip_image002.jpg
После чего повторите логи, только не забудьте обновить базы.

+

скопируйте следующий код в блокнот, сохраните под любым именем с расширением .reg После сохранения кликните дважды по файлу, подтвердите добавление в реестр

Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] "PersistBrowsers"=dword:00000000
 
Последнее редактирование:

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#3
goredey, Выполнил код "1" и код "2". В HijackThis не нашёл первые две строчки, в чём дело?. quarantine.zip отправил на проверку, жду ответа. И где можно скачать FAQ по HijackThis, а то боюсь не справлюсь. Чисто интуитивно пофиксил в HijackThis последнюю строчку, после чего она исчезла из HijackThis это норма? Блин полный чайник......
 

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
Баллы
453
#4
И где можно скачать FAQ по HijackThis
Вот здесь


В HijackThis не нашёл первые две строчки
ничего страшного!

после чего она исчезла из HijackThis это норма?
Да.

Подготовьте повторные логи AVZ, только не забудьтя обновить базы
Код:
AVZ-->файл-->обновить базы
+


Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Что с проблемами?
 

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#5
goredey, Сканировал Malwarebytes' Anti-Malware. Нашёл много ифицированных файлов 33 шт. Что мне с ними делать? Malwarebytes' Anti-Malware предлагает удалить объекты. Мне выполнить это действие? Для создания новых логов АВЗ, мне потребуется перезагрузка, а Malwarebytes' Anti-Malware пока работает и ждет моих действий. Вот осёл, сначала ведь нужно было логи подготовить!!!
 

Вложения

Последнее редактирование:

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
Баллы
453
#7
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\system32\lkeroo.exe','');
 DeleteFile('C:\WINDOWS\system32\lkeroo.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Удалите в Malwarebytes' Anti-Malware
Код:
Заражённые папки:
c:\documents and settings\Алексей\application data\winxrar (Trojan.Agent) -> No action taken.
Заражённые файлы:
c:\WINDOWS\system32\'4rЂ 
c:\documents and settings\Алексей\application data\chkntfs.dat (Malware.Trace) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\a.htm (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\after.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\aview (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\dir.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\key (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\logo.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\myriadwebpro-condensed.ttf (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\rules.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
c:\documents and settings\Алексей\application data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Что с проблемами?
 
Последнее редактирование:

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#8
Скрипт выполнил. Логи вложил. Изменения небольшие. Папка мои документы как открывалась так и открывается, только теперь в диспетчере задач нет приложения и процесса.
 

Вложения

  • 41.3 KB Просмотры: 1
  • 40.7 KB Просмотры: 6

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#9
Создайте твик реестра с содержимым

Код:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"PersistBrowsers"=dword:00000000
Добавлено через 10 секунд
А так?
 

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#10
Нет и это не помогло. Прилагаю скриншот. Непонятны два процесса отмеченные стрелками.
 

Вложения

  • 21.8 KB Просмотры: 13

goredey

Ассоциация VN
Сообщения
438
Симпатии
253
Баллы
453
#11
neonoviy, это легальные системные процессы
1) taskmgr.exe- это диспетчер задач
2) Ctfmon - системный процесс Windows. Этот процесс производит мониторинг активных окон и предоставляет поддержку клавиатуры, перевода, распознавания речи и рукописных символов, а также других технологий альтернативного ввода данных.
 

akok

Команда форума
Администратор
Сообщения
15,591
Симпатии
12,652
Баллы
2,203
#13
Проведите поиск файлов при помощи AVZ:

  • CTFMON.EXE
  • taskmgr.exe

И перешлите полученный архив на quarantine<at>safezone.cc (at=@) в заголовке (теме) письма укажите ссылку на тему.

Добавлено через 1 минуту 28 секунд
neonoviy, сформулируйте, что смущает в работе системы.

Насколько понимаю у вас windows сборка?
 

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#14
Да, сборка windows, лицензионная. Смущает то, что сидит у меня какая-то "фигня" и я не знаю, что она из себя представляет. Ранее писал, что после загрузки личных параметров открывается папка мои документы, причем без моих действий. Файлы в карантин не добавляются.
 

Вложения

  • 12.6 KB Просмотры: 7

neonoviy

Активный пользователь
Сообщения
9
Симпатии
3
Баллы
303
#16
akoK После ознакомления с данной темой проблема решилась :victory:. Но всё равно не понял, почему это произошло. Система работала больше года без косяков, а тут на тебе поменялась ни с того ни с сего. Огромное спасибо всем участникам форума!!! С наступающим новым годом!!!
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу